15 июня 2020 г.

Что общего между DLP* и пандемией?

*DLP - стандартное DLP-решение (Data Leak Prevention) позиционируется как решение по защите от утечек данных и противодействию инсайдерам

"Вакцину ищут лучшие умы. И средние. И худшие. И мы"
Леонид Каганов

От темы пандемии сейчас трудно абстрагироваться, поэтому проведу параллели с DLP.

Представим любую организацию в виде человеческого организма, в котором завелся вирус (в терминах DLP - инсайдер). Наша задача, найти в организме информацию о вирусе (инсайдере), который где-то там движется по кровеносным сосудам организма (организации). Прежде всего нас, конечно, интересует работа сердца (бизнес-процессы организации), чистота легких (пусть это в контексте DLP будет электронная почта) и взаимодействие разных клеток крови: эритроцитов (например, сотрудников), которые переносят кислород и углекислый газ, лейкоцитов (сотрудников с повышенными привилегиями в информационных системах), обеспечивающих работу иммунной системы, и тромбоцитов (руководство), обеспечивающих свертываемость крови.

Как и в медицине, тромбоциты некоторыми учёными не считаются клетками, так и мы, в контексте борьбы с утечками и инсайдерами, руководство организации иногда выводим за скобки мониторинга DLP-системами.

Принято определять здоровье организма, измеряя температуру тела (информацию, которая движется в электронном виде внутри сети). Иногда еще измеряют пульс (в контексте DLP пусть будет модуль по контролю рабочего времени).

Совокупность всех измеряемых параметров организма помогает поставить диагноз (собрать доказательную базу): вирус (инсайдер) есть или его нет. Иногда вирус (инсайдер) может до определенного времени вообще никак себя не проявлять - болезнь протекает бессимптомно.

Если у вас нет вакцины, то вам трудно защитить организм от неизвестного вируса. Такой “вакциной” в контексте DLP могут быть искусственный интеллект (ИИ), машинное обучение, нейронные сети. С их помощью можно автоматизировать процесс обнаружения защищаемых данных в компании, что позволит целенаправленно лечить те “органы”, которые в этом нуждаются.

Борясь с пандемией, неразумно покупать аппараты ИВЛ впрок, не зная предположительно, сколько у вас будет лёгочных больных и, тем более ставить их всем подряд без разбора, чтобы просто оправдать их приобретение. Но именно так приходится поступать при покупке DLP-лицензий, приобретая их впрок, без какой-либо статистики аналогичных случаев (инцидентов).

Даже, если а) проведена оценка рисков в компании (поставлен диагноз – не факт, что правильный) б) руководство сформулировало вам задачу: “закрутить гайки” и держать курс на “терзать и трясти” собственных сотрудников, это вовсе не означает, что вам выдан карт-бланш на мониторинг всего и вся и неограниченный бюджет на эти цели.

Покупая DLP-систему, вы, примерно, должны представлять, сколько системных агентов вам понадобится для мониторинга каналов. Понимать логику комбинирования возможностей различных DLP-агентов с другими инструментами системы: механизмами управления инцидентами, парсерами, анализаторами протоколов, перехватчиками и так далее.

Технологии стали главным источником информации. Но пока “выявлять чувствительные персональные данные и разбираться с ними столь же сложно, как и определять, какая корпоративная информация сохранила или потеряла свою деловую ценность с течением времени” (Старший вице-президент по стратегическим вопросам компании Titus Марк Кассетта (Mark Cassetta).

Полную версию статьи читайте в номере журнала "Information Security/Информационная безопасность" №3, 2020

С Международным днём блогера! (отмечается в Сети 14 июня)



Комментариев нет:

Отправить комментарий